Aquí está el material que usé ayer en el curso sobre redes sociales en la Universidad Camilo José Cela. La base es la del taller de iCities pero con tres nuevos apartados: una explicación más exhaustiva de Twitter, otra sobre Facebook y un último apartado de seguridad en las redes sociales. Todo está agregado en el wiki.

Twitter

¿Qué es el microblogging?

La vida está llena de sorpresas. Y si no, que se lo digan a los ingenieros de telecomunicaciones que idearon en su día un canal para mandarse mensajes de control. Si alguien les hubiese indicado que esos mensajes se popularizarían como un servicio de usuario para el envío de texto corto entre teléfonos móviles (los famosos SMS), no hubiesen dado crédito. Que se use ese canal y no el de voz es la razón de que la longitud máxima de un SMS sea de 160 caracteres.

Esta misma tendencia se ha trasladado recientemente a Internet de la mano del microblogging, también conocido como nanoblogging: publicaciones de texto de 140 caracteres como máximo para contar qué estamos haciendo en cada momento. Si a esto se le agrega el componente social que posibilita que seleccionemos nuestra red de amigos (aquellos que queremos que vean nuestros mensajes y de los que deseamos estar al tanto de sus vidas), ya tenemos un chat asíncrono en comunidad que requiere un alto nivel de atención. Es decir, se trata de la suma de blogs, redes sociales y mensajería instantánea, con un importante componente de inmediatez y movilidad.

¿Qué es Twitter?

Es el servicio gratuito de microblogging más popular y extendido en la Red, donde se publican tweets (mensajes) de no más de 140 caracteres. La red social se compone de followers (los que nos siguen) y following (a los que nosotros seguimos), que no tienen por qué coincidir. Podemos publicar cosas en abierto o tener nuestro canal privado, que sólamente lo leerán los usuarios a los que demos permiso. Nomenclatura: @nombredeusuario para dirigirnos a alguien en concreto; RT: @usuario texto para hacer de repetidor de un tweet que alguien ha escrito; #hashtag para etiquetar nuestro mensaje y que se encuentre más fácilmente (así se forman los denominados trending topics o temás más “calientes” en cada momento); d @usuario para mandarle un mensaje directo que sólo leerá él.

Sólo se puede publicar texto, pero existen servicios para agregar:

• Imágenes: Twitpic
• Archivos de toda clase como fotos, vídeos, documentos (word, power point, excel), archivos zip, plugins…: FileSocial
• Canciones: se puede sincronizar con otros servicios como blip.fm de forma que cada vez que publiquemos una canción ahí, aparezca también en twitter
• Posts de nuestros blogs (o de cualquier cosa que tenga RSS): gracias a Twitterfeed podremos configurar cualquier canal RSS para que, cada vez que se publique algo nuevo, aparezca en nuestra cuenta de Twitter. Podremos además configurar un prefijo o sufijo que acompañe al enlace a ese contenido

Los usos que se le dan a Twitter son muy variados y cada vez más alejados del inicial “¿Qué estás haciendo?”. Ejemplos:

• Durante los congresos, se ha convertido en un foro de discusión en tiempo real. Mientras que los ponentes están disertando a la masa, esa masa genera su conversación en paralelo, teniendo un papel más activo y logrando que personas que no están en ese evento, también participen.
• Otro ejemplo lo encontramos en las pasadas elecciones estadounidenses, donde los candidatos han ido narrando todos sus movimientos a través de Twitter. La Red es ya un canal de comunicación más que ha logrado una alta movilización por parte de los ciberactivistas. En este caso se demostró que los demócratas llevaron a cabo una mejor campaña en Internet. Sólo era necesario comparar los seguidores del canal de Barack Obama (por encima de los 112.000) y sus más de 250 actualizaciones, frente a los cerca de 5.000 followers de John McCain con sólo 25 twitteos. Casos como el de las pasadas elecciones iraníes también lo corroboran.
• Compartir información y conocimiento como en una lista de correo, un foro o como si fuera nuestro del.icio.us donde publicamos enlaces de interés.
• También ofrece muchas posibilidades como canal de emisión corporativa para las empresas. Dell, compañía que desarrolla y vende ordenadores, ha creado una cuenta para lanzar ofertas especiales a sus seguidores.
• Medios de comunicación como El País, CNN o Times lo usan para distribuir sus titulares y mantener informados a sus usuarios de noticias de última hora.
• Socialización y networking.
• Coordinar equipos de trabajo y proyectos (aunque para esto es más recomendable yammer.com, un twitter para empresas sin límite de caracteres y que agrupa por el dominio de nuestra dirección de correo).
• Cubrir un evento o noticia. Twitter se suele sobreactivar ante sucesos importantes. Por ejemplo, el día de la muerte de Michael Jackson, se colapsó: 9 de los 10 Trending Topics eran referentes al Rey del Pop.
• Incluso se pueden materializar ideas más peregrinas, como la que nos ofrece el proyecto Botanicalls: un nuevo canal de comunicación entre plantas y humanos. Se trata de un sistema que se conecta al vegetal y hace que éste mande su estado en tiempo real a la plataforma. Puede ser interesante ver a nuestro geranio lanzando mensajes de auxilio al ciberespacio si se queda sin agua.
• Y existen casos más extremos derivados de la urgencia, como el ocurrido en marzo de 2008. Mientras un tornado azotaba Oklahoma, sus habitantes fueron narrando la localización exacta del mismo en cada momento. O el de los bomberos de Los Ángeles, que aprovechan la utilidad para informar en tiempo real de las alertas ocurridas en la ciudad.

Para seguir lo que se dice sobre un tema en concreto, tenemos el buscador. Si introducimos un término de búsqueda, nos genera un rss asociado que podremos seguir mediante nuestro lector de feeds favorito.

Si estamos siguiendo un congreso en el que se ha decidio una etiqueta común para todos los tweets, podemos usar Twubs , una especie de salón donde aparecen todos los mensajes de esa etiqueta y desde el que podemos escribir automatizando la inclusión de la misma.

Existen muchas otras plataformas de terceros, que gracias a la API de twitter, le agregan funcionalidad. Según Biz Stone (co-fundador), más del 50% del tráfico les llega a través de esa API. En Twituneando hay una buena recopilación.

Facebook

La wikipedia nos dice que se trata de un sitio web formado por muchas redes sociales o, dicho de otra manera, un pegamento donde los usuarios se crean perfiles en los que van agregando material de otros servicios (imágenes de flickr, vídeos de youtube y así hasta un largo etcétera) y que comparten con sus contactos. Desde Facebook se puede jugar, mostrar nuestras películas favoritas, descubrir nueva música, invitar a cervezas (eso sí, virtuales),… Todo ello gracias a que está abierto a desarrolladores, de manera que cualquiera puede hacer mini-aplicaciones que funcionen y se integren en la plataforma. Aquí tenemos la principal razón de su éxito y la que le da mayor valor puesto que ya cuenta con más de 20.000 programas de terceros.

Repasemos ahora un poco su historia y cómo se ha ido fraguando el proyecto. Allá por 2004, un estudiante de la Universidad de Harvard, Mark Zuckerberg, junto a dos amigos decidió empezar a construir una comunidad virtual. Originalmente esta red social fue creada exclusivamente para la comunicación entre estudiantes estadounidenses. De ahí proviene su nombre, ya que es el mismo que recibe el boletín que las universidades entregan a los alumnos que comienzan una nueva carrera para que se conozcan entre ellos (libro de caras). Es por esta razón que hasta 2006 no estaba permitido el registro ni la creación de cuentas a personas que no contasen con una dirección de correo electrónico de una universidad norteamericana. Sin embargo, tras comprobar el éxito que estaba cosechando, se eliminó la restricción para poder ampliar horizontes publicitarios. Esta decisión levantó una cierta polémica entre los usuarios que ya estaban haciendo uso de la plataforma, dado que se perdía la esencia estudiantil. Pero como diría Quevedo: Poderoso caballero es don dinero.

Su mayor crecimiento, en 2008, ha venido de la mano de personas con edades comprendidas entre los 35 y 49 años (24,1 millones). Sólo tardó cinco semanas en pasar del hito de los 150 millones de usuarios a los 175 y sigue creciendo a un ritmo de 600.000 por día (según estadísticas de comScore). Si fuese un país, sería ya el sexto más poblado.

El área principal de trabajo en Facebook es nuestro perfil, desde el que podremos ir configurando y añadiendo toda la información. Además de perfiles, existen grupos y páginas. Los perfiles son para las personas (éstas agregan contactos). Las páginas para las empresas, productos, … (éstas agregan fans). Los grupos son para un conjunto de personas que tienen un interés común (los miembros no tienen por qué ser contactos entre ellos).

En facebook seremos capaces de buscar y agregar amigos, así como de instalar aplicaciones. Esta instalación se hace en el propio portal (no se añade nada a nuestro ordenador). Se pueden lanzar eventos (es una plataforma ideal para avisar a la gente de dónde y cuándo se va a producir un acontecimiento). Mediante RSS se puede seguir la actividad de nuestros amigos e incluso cuenta con un chat propio. Por tanto, entretenimiento, comunicación e información se unen bajo un mismo paraguas. Además, si bien el proyecto arrancó inicialmente en el lenguaje de Shakespeare, ahora ya cuenta con versiones en francés, alemán y castellano, por lo que el idioma tampoco es una barrera.

En 2009 ha hecho una serie de cambios importantes:

• Lavado de cara de su interfaz, con un parecido más que sospechoso a Twitter
• Cambio en la forma de gestionar las actualizaciones de nuestros contactos. Ahora se puede decidir quién sale en la sección Noticias (página inicial que muestra la actividad de nuestros amigos), lo que potenciará el agregar a contactos con más alegría y que se establezcan lazos aún más débiles

Seguridad

La ingeniería social es el mayor peligro en las redes sociales. Las grandes compañías poseen servidores perfectamente bastionados ante intrusos externos. Sin embargo, la seguridad de estas redes es tan fuerte como el más débil de sus eslabones: el usuario. Si se engaña a éste para que dé sus claves o pinche en un enlace malintencionado, de nada servirán las barreras físicas que pongan las plataformas. Nathan Hamiel y Shawn Moyer indicaron en el Black Hat 2008: “Es posible que no pueda atacar a Facebook o a MySpace, pero sí puedo atacar a sus usuarios todos los días. No pongas nada en una cuenta de Facebook que no consideres público“. Además, los crackers cada día se tienen que esmerar menos porque nosotros mismos aireamos todos nuestros datos. Hasta el mismísimo nuevo jefe de los servicios secretos británicos ha visto su seguridad personal comprometida.

Otra cuestión a valorar son las condiciones de uso de casi todas las redes sociales virtuales (asustan). Juegan con un lenguaje complejo para que aceptemos cosas impensables sin leerlo siquiera. Muchas veces lo hacen para cubrirse las espaldas, pero otras tantas, para usar nuestros datos.

Por ejemplo, las condiciones de uso de Facebook cuentan con algunas cláusulas que le otorgan la propiedad sobre los contenidos que se crean en ella. Concretamente éste es el párrafo de la discordia:

Para el contenido protegido por derechos de propiedad intelectual, como fotografías y vídeos (“contenido de PI”), nos concedes específicamente el siguiente permiso, de acuerdo con la configuración de privacidad y aplicaciones: nos concedes una licencia no exclusiva, transferible, con posibilidad de ser sub-otorgada, sin royalties, aplicable globalmente, para utilizar cualquier contenido de PI que publiques en Facebook o en conexión con Facebook (en adelante, “licencia de PI”). Esta licencia de PI finaliza cuando eliminas tu contenido de PI o tu cuenta (excepto en el caso en que tu contenido se ha compartido con terceros y éstos no lo han eliminado).

También hay que ser cuidadoso de cómo se dejan las opciones de privacidad (quién puede ver qué). Según Ofcon 2008, el 41-44% deja las opciones por defecto.

Como me decían vía twitter, últimamente me estoy volviendo la chica “Redes sociales” y como me dicen mis amigos: “me estoy encasillando”

Recordemos que John es software libre, así que si visitamos su página, podremos descargarnos tanto su ejecutable como su código (ya tenemos disponible la versión estable 1.7.0.2).

La instalación es tan simple que no requiere instalación Sólo tendremos que bajarnos el ejecutable y empezar a funcionar. Eso sí, en windows, si tenéis algún antivirus instalado, os dirá que es una herramienta del mal y puede que incluso os la borre del tirón.

En sistemas linux sabor Debian podemos también instalarlo con un simple:

apt-get install john

Sin embargo, si sois de los linuxeros de bytes en el pecho, podéis compilarlo a mano. Para ello nos descargamos las fuentes de aquí:

John the Ripper 1.7.0.2 (Unix – tar.gz, 784 KB) y su firma.

Descomprimimos con la siguiente instrucción:

tar -xzvf john-1.7.0.2.tar.gz

Entramos en la carpeta john-1.7.0.2/src y ejecutamos el comando: make clean generic. Si todo ha ido bien, se nos habrá creado un ejecutable denominado john en la carpeta john-1.7.0.2/run. Para probarlo, lanzamos:

./john –test

¿A que esta parte ha sido fácil? Pues mañana mismo empezaré a explicar el funcionamiento.

En anteriores capítulos de la saga:

¿Cómo de seguras son tus claves?
¿Cómo de seguras son tus claves? (segundo asalto)

Seguimos destripando a John The Ripper (y nunca mejor dicho). En esta ocasión explicaré un poco la estructura y evolución de los archivos de claves de Unix/Linux, porque será con los que trabajemos más adelante.

Originalmente, en estos sistemas, el hash de las contraseñas residía en el archivo /etc/passwd. Pero éste debe tener necesariamente permisos de lectura para todos los usuarios (si no, no serán capaces de iniciar sesión), lo que suponía un problema de seguridad, ya que aunque las claves estuvieran cifradas, cualquiera podía ejecutar programas como John.

Cada línea del fichero /etc/passwd corresponde a un usuario y está dividida en 7 partes separadas por el símbolo “:” con la siguiente información:

usuario:contraseña:ID_Usuario:ID_Grupo:nombre:directorio:shell

Ejemplo:

loretahur:Ejrt3EJUnh5Ms:1000:1000:Lorena Fdez:/home/loretahur:/bin/bash

La primera parte corresponde al nombre de usuario y la segunda, a la clave cifrada. El resto, es sólo información sobre el usuario, su directorio de trabajo,… que no tiene importancia para John puesto que no lo necesita. De hecho, se podría dejar de la siguiente forma (lo importante es la estructura, de forma que john pueda reconocerlo como una clave unix):

loretahur:Ejrt3EJUnh5Ms:a:a:a:a:a

Posteriormente, para mejorar la seguridad, se incluyó un nuevo sistema: el shadowing o sistema de claves fantasmas. Éste consiste en ocultar las contraseñas del archivo /etc/passwd (dejando el campo de la contraseña o bien con “x” o con “*”). Ejemplo:

loretahur:x:1000:1000:Lorena Fdez:/home/loretahur:/bin/bash

Ahora, los hashes de las claves se encuentran en el archivo /etc/shadow, al que sólo tiene acceso el usuario root. Por tanto, ahora para obtener las claves son necesarios los ficheros passwd y shadow. Para hacer nuestras pruebas de calidad de claves, copiaremos estos dos ficheros (y reitero lo de copiar, que luego os cargáis cualquiera de ellos y la liáis parda).

Otra cuestión curiosa de los sistemas Unix es que cifran las contraseñas utilizando como llave de cifrado a la propia contraseña. Con esto se consigue que no pueda invertirse el proceso. Por lo tanto, para poder obtener la clave, John hace lo siguiente: utiliza las palabras de los diccionarios y variaciones de éstas como llaves del DES, comparando el resultado obtenido con la clave cifrada. Si coinciden, ha dado con la clave buscada.

En anteriores capítulos de la saga:

¿Cómo de seguras son tus claves?

Tantas y tantas aplicaciones inundan hoy en día nuestro ordenador, que nos toca memorizar una gran cantidad de contraseñas. Como consecuencia terminamos poniendo siempre la misma. De hecho, conozco a mucha gente ¡que usa su clave de cajero! Así que el robo de nuestras passwords puede ser catastrófico.

Por eso voy a hacer una serie de posts explicando el funcionamiento de John The Ripper, un programa que nos servirá para evaluar lo fuerte o débil que es nuestra contraseña. Porque la mejor defensa es un buen ataque

¿Qué es John the Ripper?
John the Ripper es una aplicación de código abierto que se utiliza para la recuperación de claves, o dicho de otra forma y dependiendo de quién lo use, un crackeador de contraseñas (de ahí lo de destripador). Con ella podremos comprobar la calidad de las claves de los usuarios, intentando encontrar las que sean débiles (y por tanto inseguras) y así previniendo que un presunto atacante que obtenga el fichero de claves, pueda hacer lo mismo.

Es multiplataforma (lo tenemos tanto para Unix, como para Windows, MS-DOS, BeOS y OpenVMS). Gracias a esta característica, se permite su uso incluso continuando una sesión que se comenzó en otro sistema.

Está diseñado para ser a la vez potente y rápido (aunque su rendimiento depende mucho de la máquina en la que se ejecute). Combina bastantes modos de recuperación de claves en un solo programa y es completamente configurable para distintas necesidades (incluso se puede definir un modo propio usando el compilador interno, que soporta un sublenguaje de C).

Hay tres formas de aplicar John:

• Single Crack: Este modo intentará usar la información de login/GECOS para obtener la password. Es decir, si al crear nuestro usuario hemos introducido nuestro nombre y apellidos, tratará de combinar esos datos para obtener la contraseña.
• Utilizando diccionarios de claves o archivos de palabras. Con esta posibilidad se permite añadir reglas para que el programa “juegue” con las palabras del diccionario. Esta opción es muy potente. De hecho, estoy convencida que con un diccionario del Señor de los Anillos sería capaz de conseguir el 50% de claves de los usuarios de la Red
• Modo incremental o también conocido como fuerza bruta: como su propio nombre indica, probará todas las combinaciones de caracteres posibles. También será el modo que más recursos y tiempo consuma.

En próximos posts contaré cómo instalarlo y usar sus múltiples modos.

Y vosotros, ¿sois de los que usáis la misma contraseña para todo?

Hace tiempo tuve la suerte de recibir clases de Manuel Lucena (toda una eminencia de la criptografía) y me hizo recapacitar ante una nueva trampa tecnológica que se nos avecina: el DNI electrónico (o más conocido como DNI-E).

Cada vez queda menos tiempo para que se implante en España y seguimos sin saber nada de él. Cuando uno se saca el carnet de conducir, se le explica el funcionamiento del coche, las normas de circulación, etc… y a partir de ahí uno puede conducir pero el DNI-E parece que nos lo van a encasquetar sin explicar cuál es su funcionamiento. Y si yo me siento desinformada (que soy informática), no quiero ni pensar lo que les pasará a mis padres cuando se enteren… (porque actualmente no tienen ni la más remota idea de que se les va a cambiar el documento de identidad).

El oscurantismo que hay alrededor del algoritmo de cifrado que se utilizará no hace más que empeorar la cosa. Si yo voy a hacer transacciones con ese documento, quiero saber con que seguridad cuento y no tener que confiar en la valía de los informáticos encargados del proyecto. Contra mayor sea ese oscurantismo, antes se romperá el algoritmo de cifrado (cosa que creo que se producirá con relativa rapidez). En el momento que eso suceda, miles de millones de los contribuyentes serán tirados a la basura.

Además, asociados a este sistema de identificación, van a surgir sistemas de engaño para que la gente no use correctamente su DNI-E y acaben firmando cosas que no saben que están firmando (algo similar al phising pero con consecuencias aún peores). Lo que pueda ocurrir cuando todo el mundo tenga el DNI-E y los timadores empiecen a echar anzuelos a ver quién pica puede ser grotesco: documentos firmados digitalmente que tienen validez ante un juez que comprometen a Dios sabe qué…

Aquí la página que ha habilitado el Ministerio de Interior para que conozcamos mejor el DNI.

¿Realmente necesitamos el DNI-E? Espero vuestras opiniones.